中培偉業(yè)IT常青樹專家組認(rèn)為，應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理是企業(yè)信息安全管控體系中的兩大領(lǐng)域，兩者既有區(qū)別又相互關(guān)聯(lián)。許多信息安全人員在認(rèn)識上還存在一些誤區(qū)，容易混淆概念；同時，由于重點行業(yè)在監(jiān)管方面對兩者都有相關(guān)要求，安全人員往往會感覺重復(fù)建設(shè)，疲于應(yīng)對。本篇文章，中培偉業(yè)相關(guān)專家從應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性管理的各自目標(biāo)和工作內(nèi)容談起，著重分析一下兩者的主要差異，并結(jié)合實踐對各自的關(guān)鍵管控點進(jìn)行了說明。

信息安全應(yīng)急響應(yīng)

由于信息系統(tǒng)的復(fù)雜性和各種已知及未知威脅的不確定性，沒有任何一種信息安全策略及防護(hù)體系能確保企業(yè)的信息資源、信息系統(tǒng)及相關(guān)服務(wù)絕對不受損害，因此企業(yè)必須針對隨時可能發(fā)生的信息安全事件或疑似事件制定一套嚴(yán)謹(jǐn)周詳?shù)膽?yīng)對策略和具體行動方案，最大程度的降低企業(yè)在安全事件中的損失。這也是中培偉業(yè)倡導(dǎo)的信息安全人員的核心工作內(nèi)容之一。

管理目標(biāo)：

及時發(fā)現(xiàn)可能對企業(yè)信息安全造成威脅的安全事態(tài)，確定是否需要將事態(tài)歸類為信息安全事件；

對已確定的信息安全事件進(jìn)行評估，并以最恰當(dāng)和最有效的方式做出響應(yīng)，將信息安全事件對組織及其業(yè)務(wù)運行的負(fù)面影響降至最小；

及時總結(jié)信息安全事件及其管理的經(jīng)驗教訓(xùn)。

主要內(nèi)容：

信息安全事件響應(yīng)的工作可分為事前、事中、事后三階段：

事前：建立企業(yè)信息安全應(yīng)急響應(yīng)的總體策略并得到高級管理層的確認(rèn)；構(gòu)建信息安全應(yīng)急響應(yīng)組織并定義各自崗位職責(zé)；制定具體應(yīng)急響應(yīng)處置預(yù)案；組織相關(guān)人員定期對各預(yù)案進(jìn)行演練；

事中：監(jiān)控信息安全事態(tài)；對發(fā)生的安全事態(tài)進(jìn)行分析，判斷是否可定性為信息安全事件；對安全事件進(jìn)行分類、分級評估，啟用相應(yīng)處置預(yù)案；隨時對安全事件的進(jìn)展進(jìn)行匯報；

事后：對安全事件進(jìn)行總結(jié)，包括原因分析、處置過程評估、事件損失評估；對所發(fā)現(xiàn)企業(yè)信息安全防護(hù)體系中的漏洞和不足進(jìn)行整改；安全事件若涉及非法犯罪行為應(yīng)配合相關(guān)部門展開進(jìn)一步司法調(diào)查。

業(yè)務(wù)連續(xù)性管理體系

業(yè)務(wù)連續(xù)性管理體系是一個涵蓋非常廣泛的概念，由業(yè)務(wù)連續(xù)性管理（BCM）、業(yè)務(wù)連續(xù)性規(guī)劃（BCP）、災(zāi)備管理（DRP）等內(nèi)容構(gòu)成。其根本目的是使企業(yè)充分認(rèn)識到自身業(yè)務(wù)面臨的各種風(fēng)險，在突發(fā)情況特別是災(zāi)難性事件發(fā)生時能防止或減少業(yè)務(wù)的中斷，確保企業(yè)關(guān)鍵的核心業(yè)務(wù)在可承受的范圍內(nèi)維持最低限度的持續(xù)運行，盡一切手段縮短恢復(fù)時間，降低業(yè)務(wù)損失，減小企業(yè)內(nèi)外部的負(fù)面影響。由于IT在企業(yè)中的重要性與日俱增，如何保證IT在災(zāi)難性事件發(fā)生后繼續(xù)為業(yè)務(wù)提供持續(xù)的服務(wù)能力成為企業(yè)整體業(yè)務(wù)連續(xù)性管理中的核心內(nèi)容之一，這需要IT人員和企業(yè)中其他人員緊密配合。對于IT人員及信息安全人員而言工作重心是業(yè)務(wù)連續(xù)性規(guī)劃和災(zāi)備管理。

1 業(yè)務(wù)連續(xù)性管理體系總體架構(gòu)

管理目標(biāo)：

明確業(yè)務(wù)連續(xù)性管理范圍，識別企業(yè)關(guān)鍵性業(yè)務(wù)；

制定業(yè)務(wù)連續(xù)性計劃，在災(zāi)難性事件發(fā)生后按計劃執(zhí)行；

搭建恢復(fù)保障機(jī)制，包括建立、健全業(yè)務(wù)連續(xù)性管理機(jī)構(gòu)、軟硬件設(shè)備冗余建設(shè)、災(zāi)難恢復(fù)運行場所建設(shè)，并始終維持這些恢復(fù)機(jī)制的運行能力以保障其在需要時能夠及時啟用。

主要內(nèi)容：

配合業(yè)務(wù)人員執(zhí)行連續(xù)性規(guī)劃，包括制定業(yè)務(wù)連續(xù)性管理方針、明確業(yè)務(wù)連續(xù)性管理目標(biāo)及范圍、搭建企業(yè)業(yè)務(wù)連續(xù)性管理組織架構(gòu)，明確關(guān)鍵崗位職責(zé)；

針對企業(yè)業(yè)務(wù)內(nèi)外部工作環(huán)境按場景預(yù)設(shè)進(jìn)行風(fēng)險分析，評估風(fēng)險對業(yè)務(wù)的影響及發(fā)生的可能性

執(zhí)行業(yè)務(wù)影響分析（BIA），識別企業(yè)關(guān)鍵業(yè)務(wù)、各業(yè)務(wù)的執(zhí)行流程及所需的各類支撐資源，梳理各業(yè)務(wù)間的依存關(guān)系，明確災(zāi)難發(fā)生后對各業(yè)務(wù)的恢復(fù)要求（RTO、RPO）；

明確開發(fā)業(yè)務(wù)連續(xù)性策略，重點是明確各業(yè)務(wù)的連續(xù)性保證優(yōu)先級和恢復(fù)順序；

根據(jù)個業(yè)務(wù)RTO、RPO進(jìn)行相關(guān)IT服務(wù)支撐建設(shè)并保持其有效運行；

制定詳盡的業(yè)務(wù)連續(xù)性計劃，對相關(guān)人員進(jìn)行培訓(xùn)，定期組織進(jìn)行演練并對演練結(jié)果進(jìn)行評估和分析；

災(zāi)難性事件發(fā)生后按既定計劃執(zhí)行，保證企業(yè)核心業(yè)務(wù)持續(xù)運行，待災(zāi)難平息后進(jìn)行恢復(fù)切換。

“應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理”兩者的主要差異

通過上述簡析，大家可以看出“信息安全應(yīng)急響應(yīng)管理與業(yè)務(wù)連續(xù)性管理”都是企業(yè)解決突發(fā)信息安全事件的重要手段，兩者之間存在一定的聯(lián)系，這里重點討論兩者之間的差異如下：

首先，是針對突發(fā)場景不同。應(yīng)急響應(yīng)管理針對的常見事件場景，如：有害程序事件、網(wǎng)絡(luò)攻擊事件、設(shè)備故障事件、信息破壞事件等；業(yè)務(wù)連續(xù)性管理針對的災(zāi)難性事件場景，如：特大型自然災(zāi)害（地震、洪水、火山爆發(fā)……）、政治動亂、恐怖襲擊等。

其次，是事件造成的影響不同。災(zāi)難性事件一旦發(fā)生后往往會對企業(yè)業(yè)務(wù)和IT運行環(huán)境造成大面積影響，甚至?xí)苯訉?dǎo)致正常業(yè)務(wù)的全面癱瘓，相對而言應(yīng)急響應(yīng)針對的事件所造成的影響多為局部的，直接受損對象是信息系統(tǒng)，業(yè)務(wù)雖也受影響但尚可運行。

再次，是恢復(fù)所需的資源不同。突發(fā)事件發(fā)生后直接受損的是企業(yè)的信息系統(tǒng)，應(yīng)急處置以IT服務(wù)能力的恢復(fù)為主，IT人員、信息安全人員是處置恢復(fù)的絕對主力，一些較輕級別的應(yīng)急響應(yīng)處置甚至無需業(yè)務(wù)人員的參與配合，所需資源以各類IT資源為主；災(zāi)難性事件對企業(yè)的影響是全方面的，恢復(fù)工作需要各部門通力配合，除IT資源外企業(yè)正常業(yè)務(wù)運行所需的其他各類資源在業(yè)務(wù)持續(xù)保障及災(zāi)后重建過程中也必不可少。

最后，是處置手段及流程的不同。應(yīng)急響應(yīng)針對的事件場景特征明確，故制定的處置預(yù)案針對性很強(qiáng)，如主機(jī)系統(tǒng)應(yīng)急預(yù)案、網(wǎng)絡(luò)應(yīng)急預(yù)案。處置流程可詳細(xì)到軟硬件設(shè)備操作的具體執(zhí)行步驟；業(yè)務(wù)連續(xù)性計劃面對的局面極其復(fù)雜，在災(zāi)難場景下企業(yè)的運行環(huán)境往往需要進(jìn)行遠(yuǎn)距離的整體遷移，故業(yè)務(wù)連續(xù)性計劃常由一系列的子計劃，如IT應(yīng)急計劃、危機(jī)溝通計劃、運輸保障計劃、場所應(yīng)急計劃等構(gòu)成，其著眼點在于各計劃間的整體性和一致性。

企業(yè)信息安全體系關(guān)鍵控制點

應(yīng)急響應(yīng)管理由來已久，各方面標(biāo)準(zhǔn)非常多，實際工作中也經(jīng)常會遇到此類情況，信息安全人員對此一般都不陌生。而業(yè)務(wù)連續(xù)性管理是近十年來才在國內(nèi)重點行業(yè)陸續(xù)提出，相關(guān)標(biāo)準(zhǔn)較少，由于其復(fù)雜性和影響范圍，實際啟用，可供參考的真實案例少之又少。另一方面重點行業(yè)對業(yè)務(wù)連續(xù)性管理的監(jiān)管力度又在逐年加大，許多企業(yè)的信息安全人員對二者的區(qū)別和聯(lián)系深感困惑， 疲于應(yīng)對。作為信息安全人員對應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)性管理，IT常青樹提示CIO應(yīng)重點控制好以下幾點：

做好應(yīng)急響應(yīng)的事件分類、分級工作，可根據(jù)信息安全事件的來源和成因?qū)κ录M(jìn)行分類，根據(jù)信息系統(tǒng)的重要程度、系統(tǒng)損失和社會影響對事件進(jìn)行分級。

在安全事件分類、分級的基礎(chǔ)上針對不同的事件場景做好應(yīng)急處置預(yù)案，預(yù)案必須在企業(yè)現(xiàn)有IT運行環(huán)境下制定，必須足夠詳盡，達(dá)到操作手冊的程度。

做好BIA分析，這是業(yè)務(wù)連續(xù)性管理的最顯著特征。業(yè)務(wù)連續(xù)性管理是針對企業(yè)業(yè)務(wù)層面的，BIA分析的重要產(chǎn)出就是識別各業(yè)務(wù)的重要性，明確各業(yè)務(wù)間的依存關(guān)系和所需資源，從而確定業(yè)務(wù)持續(xù)運行保障的優(yōu)先級。BIA分析的另一產(chǎn)出物是各業(yè)務(wù)恢復(fù)的RTO、RPO，可作為應(yīng)急預(yù)案處置目標(biāo)的重要依據(jù)。

業(yè)務(wù)連續(xù)性管理一定要強(qiáng)調(diào)各部門的配合。無論在BIA分析過程中還是在實際業(yè)務(wù)連續(xù)性計劃啟用過程中，業(yè)務(wù)部門、各職能部門、IT部門一定要緊密聯(lián)動、通力協(xié)作才能保證業(yè)務(wù)連續(xù)性計劃的合理制定和順利執(zhí)行。如果計劃中只有IT部門的參與，那一定不是業(yè)務(wù)連續(xù)性計劃。

如恢復(fù)場景條件相同，恢復(fù)的RTO、RPO目標(biāo)相同，應(yīng)急響應(yīng)的各場景處置預(yù)案可作為具體的執(zhí)行流程在業(yè)務(wù)連續(xù)性計劃執(zhí)行部分被直接引用，無需充分開發(fā)。